81%云环境默认跑AI：安全团队还没醒

你的云基础设施里，AI服务已经是默认配置，不是可选组件。Wiz最新报告的数据是：81%的观测环境运行托管AI服务，90%运行自托管AI软件。但安全团队对这东西的可见性，几乎为零。

从"实验工具"到"默认基建"：AI的渗透速度被低估了

Wiz这份《2026年云AI现状报告》基于2025年全年数十万云环境的匿名化配置元数据。他们明确说自己的数字是"下限估计"，不是全球采用率的测量。

但即便按保守口径，变化也够剧烈。63%的组织现在自托管AI模型——这本身是个决策行为。问题在于：68%的这些组织至少部分通过第三方软件引入模型，18%完全依赖这种"传递性组件"。

翻译成人话：你的AI供应链里，有大量你没选过、可能也没盘点过的部分。

集中风险同样刺眼。42%的组织依赖单一AI模型，部署超过100个的不到7%。只有21%运营10个以上的托管模型。这意味着什么？一家模型供应商出事，近半企业直接暴露。

开发者工具侧的数据更赤裸。AI集成的开发环境扩展出现在至少80%的组织里，71%部署了至少一个AI编程助手。GitHub的数据显示，80%的新开发者在入职首周就采用AI助手，代码推送总量同比增长25%。

LogicStar AI与苏黎世联邦理工的独立研究发现，AI智能体参与的高达10%的公开拉取请求。这不是"有人用"，是"默认在用"。

攻击面继承：你没选的漏洞，算你的

Wiz在2025年9月发现一个关键线索：约五分之一使用AI驱动"氛围编程"平台的组织，其应用受到系统性安全弱点影响。

报告点名了两个案例。Base44 Ltd.的共享生成逻辑产生了可复现的缺陷，允许未授权访问私人应用；Moltbook的防护不足导致敏感数据暴露。当AI生成的默认配置大规模复制时，不安全模式从孤立事件变成系统性问题。

这不是"某个开发者写错了代码"。是AI平台批量生产的错误配置，被成千上万个应用继承。

编排基础设施的扩张速度同样超过安全实践。至少57%的组织部署了自托管AI智能体技术，模型上下文协议服务器出现在至少80%的云环境中。但仅有5%的环境至少有一个MCP服务器暴露在互联网上——这个数字听起来安全，直到你意识到"暴露"的定义可能没覆盖所有风险路径。

真实攻击案例：Probllama和供应链投毒

Wiz记录了多个与新层级相关的事件。

Probllama漏洞由Wiz于2024年发现，编号CVE-2024-37032，允许对Ollama实例执行远程代码。数千个实例被识别为公开可访问。这不是理论风险，是已经被利用的攻击向量。

报告还提到了"奇点供应链攻击"（singularity supply chain attack），但原文在此处截断。从上下文推断，这涉及AI模型或相关组件的供应链污染。

这些案例的共同点：攻击目标不是AI本身，而是AI作为基础设施层所引入的新暴露面。

清单：AI基础设施化的五个安全现实

一、可见性缺口：90%运行率 vs 未知库存

自托管AI软件的普及率（90%）与组织对其组件的实际盘点能力之间存在断层。18%完全依赖传递性组件的组织，甚至可能不知道自己用了什么模型。

安全团队的传统资产清单方法，对AI供应链的递归依赖基本失效。

二、模型集中：42%的"单点故障"现状

近半数组织押注单一模型。这不是技术选择，是风险集中。当该模型出现漏洞、许可变更或供应中断时，没有备份方案的组织被迫裸奔。

部署超过100个模型的不到7%，说明多模型策略仍是极少数。

三、开发者端饱和：80%的"首周采用"压力

新开发者入职首周80%采用AI助手，这个数字揭示的是组织层面的默认启用，而非个人选择。代码推送量25%的同比增长，意味着AI生成代码的绝对数量在膨胀。

安全审查的吞吐量没有同比例增长。

四、编排层失控：80%存在MCP服务器，5%暴露

模型上下文协议服务器的渗透率（80%）与互联网暴露率（5%）的落差，可能制造虚假安全感。未暴露不等于安全——内部横向移动、权限提升等攻击路径未被计入。

57%的自托管AI智能体技术部署，意味着自动化决策系统正在缺乏充分监控的环境中运行。

五、系统性弱点：五分之一组织已中招

20%的"氛围编程"平台用户存在系统性安全弱点，这个比例指向平台层面的设计缺陷，而非个体错误。Base44和Moltbook的案例显示，共享生成逻辑和默认配置是主要传染源。

当AI平台成为事实上的"基础设施供应商"，其安全质量直接决定下游数千个应用的安全基线。

数据收束：81%和90%背后，是安全模型的失效

Wiz的报告用两个数字定调：81%的托管AI服务采用率，90%的自托管AI软件运行率。这不是"AI正在进入云环境"，是"AI已经成为云环境的默认状态"。

安全行业的响应速度没有匹配这个转变。传统的"批准-部署-审计"流程，对递归引入的第三方模型、自动生成的默认配置、开发者首周即用的AI工具，基本处于失能状态。

20%的组织已经付出代价。 Probllama的数千个公开暴露实例是已知的，未知的攻击面规模没人能估算。

数据不会撒谎：90%的运行率，对应的不是90%的可见性，也不是90%的控制力。